Tento článek je pátý ze série „Jak převzít kontrolu nad svou síťovou infrastrukturou“. Obsah všech článků v seriálu a odkazy naleznete .
Tato část bude věnována segmentům Campus (Office) & Remote access VPN.
Návrh kancelářské sítě se může zdát snadný.
Ve skutečnosti vezmeme přepínače L2/L3 a připojíme je k sobě. Dále provedeme základní nastavení vilanů a výchozích bran, nastavíme jednoduché routování, připojíme WiFi ovladače, přístupové body, nainstalujeme a nakonfigurujeme ASA pro vzdálený přístup, jsme rádi, že vše fungovalo. V podstatě, jak jsem již psal v jednom z předchozích tohoto cyklu může téměř každý student, který absolvoval (a naučil se) dva semestry kurzu telekomunikací, navrhnout a nakonfigurovat kancelářskou síť tak, aby „nějak fungovala“.
Ale čím více se učíte, tím méně jednoduchý se tento úkol začíná zdát. Mně osobně se toto téma, téma návrhu kancelářských sítí, nezdá vůbec jednoduché a v tomto článku se pokusím vysvětlit proč.
Stručně řečeno, je třeba vzít v úvahu několik faktorů. Často jsou tyto faktory ve vzájemném rozporu a je třeba hledat rozumný kompromis.
Tato nejistota je hlavním problémem. Takže když mluvíme o bezpečnosti, máme trojúhelník se třemi vrcholy: bezpečnost, pohodlí pro zaměstnance, cena řešení.
A pokaždé musíte mezi těmito třemi hledat kompromis.
architektura
Jako příklad architektury pro tyto dva segmenty, stejně jako v předchozích článcích, doporučuji Modelka: , .
Jedná se o poněkud zastaralé dokumenty. Uvádím je zde, protože zásadní schémata a přístup se nezměnily, ale zároveň se mi prezentace líbí víc než in .
Aniž bych vás nabádal k používání řešení Cisco, stále si myslím, že je užitečné si tento návrh pečlivě prostudovat.
Tento článek se jako obvykle nijak netváří jako úplný, ale je spíše doplněním těchto informací.
Na konci článku rozebereme kancelářský design Cisco SAFE z hlediska zde nastíněných konceptů.
Obecné zásady
Návrh kancelářské sítě musí samozřejmě splňovat obecné požadavky, které byly projednány v kapitole „Kritéria pro hodnocení kvality návrhu“. Kromě ceny a bezpečnosti, o kterých hodláme diskutovat v tomto článku, stále existují tři kritéria, která musíme vzít v úvahu při navrhování (nebo provádění změn):
- škálovatelnost
- snadné použití (správa)
- dostupnost
Hodně z toho, kvůli čemu se diskutovalo To platí i pro kancelář.
Přesto má kancelářský segment svá specifika, která jsou z hlediska bezpečnosti kritická. Podstatou tohoto specifika je, že tento segment je vytvořen pro poskytování síťových služeb zaměstnancům (a také partnerům a hostům) společnosti, a v důsledku toho máme na nejvyšší úrovni zvážení problému dva úkoly:
- chránit firemní zdroje před škodlivými akcemi, které mohou pocházet od zaměstnanců (hostů, partnerů) a od softwaru, který používají. Patří sem také ochrana proti neoprávněnému připojení k síti.
- chránit systémy a uživatelská data
A to je jen jedna strana problému (nebo spíše jeden vrchol trojúhelníku). Na druhé straně je uživatelský komfort a cena použitých řešení.
Začněme tím, že se podíváme na to, co uživatel od moderní kancelářské sítě očekává.
Zařízení
Takto podle mého názoru vypadá „vybavení sítě“ pro uživatele kanceláře:
- Мобильность
- Schopnost používat celou řadu známých zařízení a operačních systémů
- Snadný přístup ke všem potřebným firemním zdrojům
- Dostupnost internetových zdrojů, včetně různých cloudových služeb
- "Rychlý provoz" sítě
To vše platí jak pro zaměstnance, tak pro hosty (či partnery) a je úkolem inženýrů společnosti rozlišit přístup pro různé skupiny uživatelů na základě oprávnění.
Podívejme se na každý z těchto aspektů trochu podrobněji.
Мобильность
Hovoříme o možnosti pracovat a využívat všechny potřebné firemní zdroje odkudkoli na světě (samozřejmě tam, kde je dostupný internet).
To plně platí pro kancelář. To se hodí, když máte možnost pokračovat v práci odkudkoli v kanceláři, například přijímat poštu, komunikovat ve firemním messengeru, být k dispozici pro videohovor, ... To vám na jedné straně umožňuje, vyřešit některé problémy „živou“ komunikací (například účast na shromážděních) a na druhou stranu být vždy online, držet krok a rychle vyřešit některé naléhavé úkoly s vysokou prioritou. To je velmi pohodlné a skutečně zlepšuje kvalitu komunikace.
Toho je dosaženo správným návrhem WiFi sítě.
Poznámka:
Zde většinou vyvstává otázka: stačí používat pouze WiFi? Znamená to, že můžete přestat používat ethernetové porty v kanceláři? Pokud mluvíme pouze o uživatelích a ne o serverech, které je stále rozumné připojit pomocí běžného ethernetového portu, pak obecně odpověď zní: ano, můžete se omezit pouze na WiFi. Ale jsou tu nuance.
Existují důležité skupiny uživatelů, které vyžadují samostatný přístup. To jsou samozřejmě správci. WiFi připojení je v zásadě méně spolehlivé (z hlediska ztráty provozu) a pomalejší než běžný ethernetový port. To může být pro administrátory významné. Navíc například správci sítě mohou mít v zásadě vlastní vyhrazenou ethernetovou síť pro připojení mimo pásmo.
Ve vaší společnosti mohou být další skupiny/oddělení, pro které jsou tyto faktory také důležité.
Je tu ještě jeden důležitý bod – telefonování. Možná z nějakého důvodu nechcete používat Wireless VoIP a chcete používat IP telefony s běžným ethernetovým připojením.
Obecně platí, že společnosti, pro které jsem pracoval, měly obvykle jak WiFi připojení, tak ethernetový port.
Přál bych si, aby mobilita nebyla omezena pouze na kancelář.
Pro zajištění možnosti pracovat z domova (nebo jakéhokoli jiného místa s přístupným internetem) se používá VPN připojení. Zároveň je žádoucí, aby zaměstnanci nepociťovali rozdíl mezi prací z domova a vzdálenou prací, která předpokládá stejný přístup. O tom, jak to uspořádat, pojednáme o něco později v kapitole „Jednotný centralizovaný systém ověřování a autorizace“.
Poznámka:
S největší pravděpodobností nebudete schopni plně poskytovat stejnou kvalitu služeb pro práci na dálku, jakou máte v kanceláři. Předpokládejme, že jako bránu VPN používáte Cisco ASA 5520. Podle toto zařízení je schopno „strávit“ pouze 225 Mbit provozu VPN. To je samozřejmě z hlediska šířky pásma, připojení přes VPN je velmi odlišné od práce z kanceláře. Také pokud je z nějakého důvodu latence, ztráta, jitter (například chcete používat kancelářskou IP telefonii) pro vaše síťové služby významné, také nedostanete stejnou kvalitu, jako byste byli v kanceláři. Proto, když mluvíme o mobilitě, musíme si být vědomi možných omezení.
Snadný přístup ke všem firemním zdrojům
Tento úkol by měl být řešen společně s dalšími technickými odděleními.
Ideální stav je, když se uživatel potřebuje autentizovat pouze jednou a poté má přístup ke všem potřebným zdrojům.
Poskytování snadného přístupu bez obětování zabezpečení může výrazně zvýšit produktivitu a snížit stres mezi vašimi kolegy.
Poznámka 1
Snadný přístup není jen o tom, kolikrát musíte zadat heslo. Pokud se například v souladu s vaší bezpečnostní politikou, abyste se mohli připojit z kanceláře do datového centra, musíte se nejprve připojit k bráně VPN a zároveň ztratíte přístup ke zdrojům kanceláře, pak je to také velmi , velmi nepohodlné.
Poznámka 2
Existují služby (například přístup k síťovým zařízením), kde máme obvykle vlastní dedikované AAA servery, což je norma, když se v tomto případě musíme autentizovat několikrát.
Dostupnost internetových zdrojů
Internet není jen zábava, ale také soubor služeb, které mohou být velmi užitečné pro práci. Existují také čistě psychologické faktory. Moderní člověk je propojen s jinými lidmi přes internet prostřednictvím mnoha virtuálních vláken a podle mého názoru není nic špatného, když toto spojení pociťuje i při práci.
Z hlediska plýtvání časem není nic špatného, když má zaměstnanec např. spuštěný Skype a v případě potřeby stráví 5 minut komunikací s blízkým.
Znamená to, že internet by měl být vždy dostupný, znamená to, že zaměstnanci mohou mít přístup ke všem zdrojům a nijak je nekontrolovat?
Ne to samozřejmě neznamená. Míra otevřenosti internetu se může u různých společností lišit – od úplného uzavření až po úplnou otevřenost. Způsoby řízení dopravy probereme později v částech o bezpečnostních opatřeních.
Schopnost používat celou řadu známých zařízení
Je to výhodné, když máte například možnost nadále využívat všechny komunikační prostředky, na které jste v práci zvyklí. Není problém to technicky realizovat. K tomu potřebujete WiFi a hostující wilan.
Je také dobré, pokud máte možnost používat operační systém, na který jste zvyklí. Ale podle mého pozorování je to obvykle povoleno pouze manažerům, správcům a vývojářům.
příklad
Můžete samozřejmě jít cestou zákazů, zakázat vzdálený přístup, zakázat se připojovat z mobilních zařízení, vše omezit na statická ethernetová připojení, omezit přístup k internetu, povinně zabavit mobily a gadgety na checkpointu... a tato cesta je skutečně následován některými organizacemi se zvýšenými bezpečnostními požadavky a možná to může být v některých případech oprávněné, ale... musíte souhlasit, že to vypadá jako pokus zastavit pokrok v jedné organizaci. Samozřejmě bych rád spojil možnosti, které moderní technologie poskytují, s dostatečnou úrovní zabezpečení.
"Rychlý provoz" sítě
Rychlost přenosu dat se technicky skládá z mnoha faktorů. A rychlost vašeho připojovacího portu obvykle není tou nejdůležitější. Pomalý chod aplikace není vždy spojen se síťovými problémy, ale nás zatím zajímá pouze síťová část. Nejčastější problém se „zpomalením“ lokální sítě souvisí se ztrátou paketů. K tomu obvykle dochází, když dojde k úzkému hrdlu nebo problémům L1 (OSI). Vzácněji může u některých návrhů (například když vaše podsítě mají firewall jako výchozí bránu a veškerý provoz jím prochází) chybět výkon hardwaru.
Proto při výběru zařízení a architektury musíte korelovat rychlosti koncových portů, trunků a výkonu zařízení.
příklad
Předpokládejme, že jako přepínače přístupové vrstvy používáte přepínače s 1 gigabitovými porty. Jsou vzájemně propojeny přes Etherchannel 2 x 10 gigabitů. Jako výchozí bránu používáte firewall s gigabitovými porty, k jejichž připojení ke kancelářské síti L2 použijete 2 gigabitové porty spojené do Etherchannelu.
Tato architektura je z funkčního hlediska docela výhodná, protože... Veškerý provoz prochází firewallem a můžete pohodlně spravovat přístupové politiky a používat složité algoritmy pro řízení provozu a prevenci možných útoků (viz níže), ale z hlediska propustnosti a výkonu má tento návrh samozřejmě potenciální problémy. Takže například 2 hostitelé stahující data (s rychlostí portu 1 gigabit) mohou zcela načíst 2 gigabitové připojení k firewallu a vést tak k degradaci služeb pro celý segment kanceláří.
Podívali jsme se na jeden vrchol trojúhelníku, nyní se podívejme na to, jak můžeme zajistit bezpečnost.
Opravné prostředky
Obvykle je tedy naším přáním (nebo spíše přáním našeho managementu) samozřejmě dosáhnout nemožného, totiž poskytnout maximální pohodlí s maximální bezpečností a minimálními náklady.
Podívejme se, jaké metody máme k zajištění ochrany.
Pro kancelář bych zdůraznil následující:
- přístup nulové důvěry k designu
- vysoká úroveň ochrany
- viditelnost sítě
- jednotný centralizovaný autentizační a autorizační systém
- kontrola hostitele
Dále se budeme věnovat každému z těchto aspektů trochu podrobněji.
Nulová důvěra
Svět IT se velmi rychle mění. Jen za posledních 10 let vedl vznik nových technologií a produktů k zásadní revizi bezpečnostních konceptů. Před deseti lety jsme z bezpečnostního hlediska rozdělili síť na zóny důvěry, dmz a nedůvěryhodnosti a použili jsme tzv. „obvodovou ochranu“, kde byly 2 obranné linie: nedůvěra -> dmz a dmz -> důvěra. Také ochrana byla obvykle omezena na přístupové seznamy založené na hlavičkách L3/L4 (OSI) (IP, TCP/UDP porty, TCP příznaky). Vše související s vyššími úrovněmi, včetně L7, bylo ponecháno na OS a bezpečnostních produktech nainstalovaných na koncových hostitelích.
Nyní se situace dramaticky změnila. Moderní pojetí vychází ze skutečnosti, že již není možné považovat vnitřní systémy, tedy ty umístěné uvnitř perimetru, za důvěryhodné, a koncept samotného perimetru se zamlžil.
Kromě připojení k internetu máme také
- vzdáleným uživatelům VPN
- různé osobní vychytávky, přinesené notebooky, připojené přes kancelářskou WiFi
- jiné (pobočkové) kanceláře
- integrace s cloudovou infrastrukturou
Jak vypadá přístup Zero Trust v praxi?
V ideálním případě by měl být povolen pouze provoz, který je vyžadován, a pokud mluvíme o ideálu, pak by řízení nemělo být pouze na úrovni L3/L4, ale na úrovni aplikace.
Pokud máte například možnost propouštět veškerý provoz přes firewall, pak se můžete pokusit přiblížit ideálu. Tento přístup však může výrazně snížit celkovou šířku pásma vaší sítě a kromě toho filtrování podle aplikací nefunguje vždy dobře.
Při řízení provozu na routeru nebo přepínači L3 (pomocí standardních ACL) narazíte na další problémy:
- Toto je pouze filtrování L3/L4. Útočníkovi nic nebrání v použití povolených portů (např. TCP 80) pro svou aplikaci (ne http)
- komplexní správa ACL (obtížné analyzovat ACL)
- Toto není stavový firewall, což znamená, že musíte explicitně povolit zpětný provoz
- s přepínači jste obvykle velmi pevně omezeni velikostí TCAM, což se může rychle stát problémem, pokud zvolíte přístup „povolte pouze to, co potřebujete“
Poznámka:
Když už mluvíme o zpětném provozu, musíme si uvědomit, že máme následující příležitost (Cisco)
povolit tcp jakékoli zavedené
Musíte však pochopit, že tento řádek je ekvivalentní dvěma řádkům:
povolit tcp jakékoli potvrzení
allow tcp any any rstCož znamená, že i když neexistoval žádný počáteční TCP segment s příznakem SYN (to znamená, že relace TCP se ani nezačala ustavovat), toto ACL umožní paket s příznakem ACK, který může útočník použít k přenosu dat.
To znamená, že tato linka v žádném případě nepromění váš router nebo přepínač L3 na stavový firewall.
Vysoká úroveň ochrany
В V části o datových centrech jsme zvažovali následující způsoby ochrany.
- stavový firewall (výchozí)
- ochrana ddos/dos
- aplikační firewall
- prevence hrozeb (antivirus, anti-spyware a zranitelnost)
- filtrování URL
- filtrování dat (filtrování obsahu)
- blokování souborů (blokování typů souborů)
V případě kanceláře je situace podobná, ale priority jsou mírně odlišné. Dostupnost kanceláře (dostupnost) obvykle není tak kritická jako v případě datového centra, zatímco pravděpodobnost „interního“ škodlivého provozu je řádově vyšší.
Proto jsou pro tento segment kritické následující metody ochrany:
- aplikační firewall
- prevence hrozeb (antiviry, antispyware a zranitelnosti)
- filtrování URL
- filtrování dat (filtrování obsahu)
- blokování souborů (blokování typů souborů)
Přestože všechny tyto způsoby ochrany, s výjimkou aplikačního firewallingu, byly a jsou tradičně řešeny na koncových hostitelích (například instalací antivirových programů) a pomocí proxy, moderní NGFW poskytují i tyto služby.
Dodavatelé bezpečnostního vybavení se snaží vytvořit komplexní ochranu, takže spolu s lokální ochranou nabízejí různé cloudové technologie a klientský software pro hostitele (end point protection/EPP). Tedy např. od Vidíme, že Palo Alto a Cisco mají své vlastní EPP (PA: Traps, Cisco: AMP), ale jsou daleko od lídrů.
Povolení těchto ochran (obvykle zakoupením licencí) na vašem firewallu samozřejmě není povinné (můžete jít tradiční cestou), ale přináší některé výhody:
- v tomto případě existuje jediný bod aplikace metod ochrany, který zlepšuje viditelnost (viz další téma).
- Pokud je ve vaší síti nechráněné zařízení, stále spadá pod „deštník“ ochrany firewallem
- Použitím ochrany firewallem ve spojení s ochranou koncového hostitele zvyšujeme pravděpodobnost odhalení škodlivého provozu. Například použití prevence hrozeb na místních hostitelích a na firewallu zvyšuje pravděpodobnost detekce (samozřejmě za předpokladu, že tato řešení jsou založena na různých softwarových produktech)
Poznámka:
Pokud například používáte Kaspersky jako antivirus jak na firewallu, tak na koncových hostitelích, pak to samozřejmě příliš nezvýší vaše šance na zabránění virovému útoku na vaši síť.
Viditelnost sítě
je jednoduché – „vidět“, co se děje ve vaší síti, a to jak v reálném čase, tak v historických datech.
Tuto „vizi“ bych rozdělil do dvou skupin:
Skupina jedna: co vám váš monitorovací systém obvykle poskytuje.
- nakládání zařízení
- nakládací kanály
- využití paměti
- využití disku
- změna směrovací tabulky
- stav odkazu
- dostupnost vybavení (nebo hostitelů)
- ...
Skupina dvě: informace související s bezpečností.
- různé typy statistik (například podle aplikace, podle návštěvnosti URL, jaké typy dat byly staženy, uživatelská data)
- co bylo blokováno bezpečnostními politikami a z jakého důvodu, konkrétně
- zakázaná aplikace
- zakázáno na základě IP/protokolu/portu/příznaků/zón
- prevence hrozeb
- filtrování adres URL
- filtrování dat
- blokování souborů
- ...
- statistiky útoků DOS/DDOS
- neúspěšné pokusy o identifikaci a autorizaci
- statistiky pro všechny výše uvedené události porušení zásad zabezpečení
- ...
V této kapitole o bezpečnosti nás zajímá druhá část.
Některé moderní firewally (z mých zkušeností v Palo Alto) poskytují dobrou úroveň viditelnosti. Ale provoz, který vás zajímá, musí samozřejmě procházet tímto firewallem (v takovém případě máte možnost blokovat provoz) nebo zrcadlit firewall (používá se pouze pro monitorování a analýzu) a musíte mít licence k povolení všech tyto služby.
Existuje samozřejmě i alternativní způsob, nebo spíše tradiční způsob, např.
- Statistiky relací lze shromažďovat prostřednictvím netflow a poté použít speciální nástroje pro analýzu informací a vizualizaci dat
- prevence hrozeb – speciální programy (antiviry, antispyware, firewall) na koncových hostitelích
- Filtrování URL, filtrování dat, blokování souborů – na proxy
- je také možné analyzovat tcpdump pomocí např.
Tyto dva přístupy můžete kombinovat, doplňovat chybějící funkce nebo je duplikovat, abyste zvýšili pravděpodobnost odhalení útoku.
Jaký přístup byste měli zvolit?
Velmi záleží na kvalifikaci a preferencích vašeho týmu.
Tam i tam jsou klady a zápory.
Jednotný centralizovaný autentizační a autorizační systém
Když je mobilita dobře navržena, předpokládá se, že máte stejný přístup, ať už pracujete z kanceláře nebo z domova, z letiště, z kavárny nebo kdekoli jinde (s omezeními, o kterých jsme hovořili výše). Zdálo by se, v čem je problém?
Abychom lépe pochopili složitost tohoto úkolu, podívejme se na typický design.
příklad
- Rozdělili jste všechny zaměstnance do skupin. Rozhodli jste se poskytnout přístup skupinám
- Uvnitř kanceláře řídíte přístup na firewallu kanceláře
- Provoz z kanceláře do datového centra řídíte na firewallu datového centra
- Používáte Cisco ASA jako bránu VPN a pro řízení provozu vstupujícího do vaší sítě ze vzdálených klientů používáte místní (na ASA) ACL
Nyní řekněme, že jste požádáni o přidání dalšího přístupu k určitému zaměstnanci. V tomto případě budete požádáni o přidání přístupu pouze jemu a nikomu jinému z jeho skupiny.
K tomu musíme pro tohoto zaměstnance vytvořit samostatnou skupinu, tzn
- vytvořit pro tohoto zaměstnance samostatný fond IP na ASA
- přidat nový ACL na ASA a svázat jej s tímto vzdáleným klientem
- vytvořit nové bezpečnostní zásady pro firewally kanceláří a datových center
Je dobré, když je tato událost vzácná. Ale v mé praxi došlo k situaci, kdy se zaměstnanci účastnili různých projektů a tento soubor projektů se u některých z nich poměrně často měnil a nebyli to 1-2 lidé, ale desítky. Tady bylo samozřejmě potřeba něco změnit.
To bylo vyřešeno následujícím způsobem.
Rozhodli jsme se, že LDAP bude jediným zdrojem pravdy, který určuje všechny možné přístupy zaměstnanců. Vytvořili jsme všechny druhy skupin, které definují sady přístupů, a každého uživatele jsme přiřadili do jedné nebo více skupin.
Předpokládejme tedy, že existovaly skupiny
- host (přístup k internetu)
- společný přístup (přístup ke sdíleným zdrojům: pošta, znalostní báze, ...)
- účetnictví
- projekt 1
- projekt 2
- administrátor databáze
- správce linuxu
- ...
A pokud byl jeden ze zaměstnanců zapojen do projektu 1 i projektu 2 a potřeboval přístup nezbytný pro práci v těchto projektech, byl tento zaměstnanec zařazen do následujících skupin:
- host
- společný přístup
- projekt 1
- projekt 2
Jak můžeme nyní tyto informace přeměnit na přístup na síťovém zařízení?
Cisco ASA Dynamic Access Policy (DAP) (viz ) řešení je právě pro tento úkol.
Stručně o naší implementaci, během procesu identifikace/autorizace ASA přijímá z LDAP sadu skupin odpovídajících danému uživateli a „sbírá“ z několika místních ACL (z nichž každý odpovídá skupině) dynamický ACL se všemi nezbytnými přístupy. , která plně odpovídá našim přáním.
Ale to je pouze pro připojení VPN. Aby byla situace stejná jak pro zaměstnance připojené přes VPN, tak pro zaměstnance v kanceláři, byl učiněn následující krok.
Uživatelé využívající protokol 802.1x se při připojování z kanceláře dostali buď do hostované LAN (pro hosty), nebo sdílené LAN (pro zaměstnance firmy). Aby zaměstnanci získali specifický přístup (například k projektům v datovém centru), museli se připojit přes VPN.
Pro připojení z kanceláře az domova byly na ASA použity různé skupiny tunelů. To je nutné, aby pro ty, kteří se připojují z kanceláře, provoz na sdílené zdroje (používané všemi zaměstnanci, jako je pošta, souborové servery, ticket systém, DNS, ...) neprocházel přes ASA, ale přes lokální síť . Nezatěžovali jsme tedy ASA zbytečným provozem, včetně provozu s vysokou intenzitou.
Tím byl problém vyřešen.
Máme
- stejná sada přístupů pro připojení z kanceláře i vzdálená připojení
- absence degradace služby při práci z kanceláře spojené s přenosem vysoce intenzivního provozu přes ASA
Jaké další výhody má tento přístup?
V administraci přístupu. Přístupy lze snadno změnit na jednom místě.
Pokud například zaměstnanec opustí společnost, jednoduše ho odeberete z LDAP a on automaticky ztratí veškerý přístup.
Kontrola hostitele
S možností vzdáleného připojení riskujeme, že vpustíme do sítě nejen zaměstnance firmy, ale i veškerý škodlivý software, který se s velkou pravděpodobností na jeho počítači (například doma) vyskytuje, a navíc prostřednictvím tohoto softwaru může poskytovat přístup k naší síti útočníkovi, který používá tohoto hostitele jako proxy.
Pro vzdáleně připojeného hostitele má smysl uplatňovat stejné požadavky na zabezpečení jako hostitel v kanceláři.
To také předpokládá „správnou“ verzi operačního systému, antivirového, antispywarového a firewallového softwaru a aktualizací. Obvykle tato možnost existuje na bráně VPN (pro ASA viz např. ).
Je také moudré použít stejnou analýzu provozu a techniky blokování (viz „Vysoká úroveň ochrany“), jaké vaše bezpečnostní zásady platí pro provoz v kanceláři.
Je rozumné předpokládat, že vaše kancelářská síť již není omezena na kancelářskou budovu a hostitele v ní.
příklad
Dobrou technikou je poskytnout každému zaměstnanci, který vyžaduje vzdálený přístup, dobrý, pohodlný notebook a vyžadovat, aby pracoval v kanceláři i z domova pouze z něj.
Nejen, že to zlepšuje zabezpečení vaší sítě, ale je to také opravdu pohodlné a zaměstnanci na něj většinou pohlížejí příznivě (pokud je to opravdu dobrý, uživatelsky přívětivý notebook).
O smyslu pro proporce a rovnováhu
V podstatě jde o rozhovor o třetím vrcholu našeho trojúhelníku – o ceně.
Podívejme se na hypotetický příklad.
příklad
Máte kancelář pro 200 lidí. Rozhodli jste se, že to bude co nejpohodlnější a nejbezpečnější.
Proto jste se rozhodli propouštět veškerý provoz přes firewall, a tak pro všechny podsítě kanceláře je firewall výchozí bránou. Kromě bezpečnostního softwaru nainstalovaného na každém koncovém hostiteli (antivirový, antispywarový a firewallový software) jste se také rozhodli použít na firewallu všechny možné metody ochrany.
Pro zajištění vysoké rychlosti připojení (vše pro pohodlí) jste jako přístupové přepínače zvolili přepínače s 10 gigabitovými přístupovými porty a jako firewally vysoce výkonné firewally NGFW, například řadu Palo Alto 7K (se 40 gigabitovými porty), samozřejmě se všemi licencemi. zahrnuty a samozřejmě dvojice High Availability.
K práci s touto řadou zařízení samozřejmě potřebujeme alespoň několik vysoce kvalifikovaných bezpečnostních inženýrů.
Dále jste se rozhodli dát každému zaměstnanci dobrý notebook.
Celkem asi 10 milionů dolarů na implementaci, stovky tisíc dolarů (myslím, že blíže k milionu) na roční podporu a platy pro inženýry.
Kancelář, 200 lidí...
Komfortní? Myslím, že ano.Přijdete s tímto návrhem ke svému vedení...
Možná je na světě řada firem, pro které je to přijatelné a správné řešení. Pokud jste zaměstnancem této společnosti, gratuluji, ale v drtivé většině případů jsem si jist, že vaše znalosti vedení neocení.
Je tento příklad přehnaný? Na tuto otázku odpoví následující kapitola.
Pokud ve vaší síti nevidíte nic z výše uvedeného, pak je to norma.
Pro každý konkrétní případ musíte najít svůj vlastní rozumný kompromis mezi pohodlím, cenou a bezpečností. Často ve své kanceláři ani nepotřebujete NGFW a ochrana L7 na firewallu není vyžadována. Stačí poskytnout dobrou úroveň viditelnosti a upozornění, a to lze provést například pomocí produktů s otevřeným zdrojovým kódem. Ano, vaše reakce na útok nebude okamžitá, ale hlavní je, že jej uvidíte a se správnými procesy ve vašem oddělení jej budete schopni rychle zneškodnit.
A připomínám, že podle konceptu této série článků nenavrhujete síť, pouze se snažíte vylepšit to, co máte.
BEZPEČNÁ analýza kancelářské architektury
Věnujte pozornost tomuto červenému čtverci, ze kterého jsem přidělil místo na diagramu které bych zde rád probral.
Toto je jedno z klíčových míst architektury a jedna z nejdůležitějších nejistot.
Poznámka:
Nikdy jsem nenastavoval ani nepracoval s FirePower (z řady firewallů Cisco - pouze ASA), takže s ním budu zacházet jako s jakýmkoli jiným firewallem, jako je Juniper SRX nebo Palo Alto, za předpokladu, že má stejné možnosti.
Z obvyklých návrhů vidím pouze 4 možné možnosti použití brány firewall s tímto připojením:
- výchozí bránou pro každou podsíť je přepínač, zatímco firewall je v transparentním režimu (to znamená, že přes něj prochází veškerý provoz, ale netvoří přeskok L3)
- výchozí bránou pro každou podsíť jsou dílčí rozhraní firewallu (nebo rozhraní SVI), přepínač hraje roli L2
- Na přepínači se používají různé VRF a provoz mezi VRF prochází firewallem, provoz v rámci jednoho VRF je řízen ACL na přepínači
- veškerý provoz je zrcadlen do firewallu pro analýzu a monitorování, provoz přes něj neprochází
Poznámka 1
Kombinace těchto možností jsou možné, ale pro jednoduchost je nebudeme uvažovat.
Poznámka2
Je zde i možnost využití PBR (service chain architecture), ale zatím toto, ač podle mě krásné řešení, je spíše exotické, takže o něm zde neuvažuji.
Z popisu toků v dokumentu vidíme, že provoz stále prochází přes firewall, tedy v souladu s designem Cisco čtvrtá možnost odpadá.
Podívejme se nejprve na první dvě možnosti.
S těmito možnostmi prochází veškerý provoz přes firewall.
Teď se podívej podívejte se a vidíme, že pokud chceme, aby celková šířka pásma pro naši kancelář byla alespoň kolem 10 - 20 gigabitů, tak si musíme koupit 4K verzi.
Poznámka:
Když mluvím o celkové šířce pásma, mám na mysli provoz mezi podsítěmi (a ne v rámci jedné vily).
Z GPL vidíme, že pro HA Bundle s Threat Defense se cena v závislosti na modelu (4110 - 4150) pohybuje od ~0,5 - 2,5 milionu dolarů.
To znamená, že náš návrh se začíná podobat předchozímu příkladu.
Znamená to, že tento design je špatný?
Ne, to neznamená. Cisco vám poskytuje nejlepší možnou ochranu na základě produktové řady, kterou má. Ale to neznamená, že je to pro vás nutnost.
V zásadě je to častá otázka, která se objevuje při návrhu kanceláře nebo datového centra a znamená pouze to, že je třeba hledat kompromis.
Například nedovolte, aby veškerý provoz procházel přes firewall, v takovém případě se mi zdá možnost 3 docela dobrá, nebo (viz předchozí část) možná nepotřebujete obranu před hrozbami nebo k tomu nepotřebujete firewall vůbec segment sítě a stačí se omezit na pasivní monitorování pomocí placených (ne drahých) nebo open source řešení, nebo potřebujete firewall, ale od jiného dodavatele.
Obvykle je tato nejistota vždy a neexistuje jednoznačná odpověď na to, které rozhodnutí je pro vás nejlepší.
V tom spočívá složitost a krása tohoto úkolu.
Zdroj: www.habr.com